 |
||
RootKits cazapasswords en el MBR generados por ficheros descargados por el Bredolabmsc hotline sat Thursday, October 8, 2009 Estamos detectando discos duros con el MBR (Master Boot Record) infectados con un RootKit cazapasswords con tecnicas Stealth, de forma que está oculto y si se arranca con él, lo carga en memoria pero no se ve dicha información en el sector 0.0.1 del disco duro, y asi consigue PASAR DESAPERCIBIDO. Lo mas grave es que ello lo hemos detectado al monitorizar un Bredolab, que ha descargado y ejecutado ficheros, entre estos un temporal que nos ha cambiado el MBR (aun con tecnologia NT de los XP), y ha sobreescrito el código del MBR con dicho Rootkit... Analizado dicho MBR con el VirusTotal vemos que se detecta como SINOWAL, pero no es detectado normalmente por estar donde está y como está ! Buscando información al respecto, parece que ya se detectaron mas de 500.000 cuentas bancarias hackeadas antaño, pero es que ahora ataca de nuevo ! Las variantes de Bredolab están de moda, y cada una descarga tropecientos troyanos, a cual peor, viejos y nuevos, pero este nos ha motivado una mayor investigación. _______ Harry Waldron McAfee Maniac Win32/Sinowal - MBR Rootkit with Password stealer impacts 500,000 accounts -------------------------------------------------------------------------------- Users should ensure their AV protection is up-to-date, as a new variant of this highly stealth rootkit was launched during late October. Approximately 510,000 bank and credit card accounts have been impacted based on analysis so far. Removal of MBR based malware is always difficult and may ultimately require a complete reformatting of the hard drive and reinstallation of all software. It appears to spread through web based exploits, and users should be cautious with weblinks in email or sites that they visit. Win32/Sinowal - MBR Rootkit with Password stealer impacts 500,000 accounts http://voices.washingtonpost.com/sec...ts_500000.html QUOTE: A single cyber crime group has stolen more than a half million bank, credit and debit card accounts over the past two-and-a-half years using one of the most advanced strains of computer spyware in existence, according to research to be published today. The discovery is among the largest stolen data caches ever recovered. HOW IT SPREADS: When an unsuspecting Windows user visits one of these sites, the code left on the site tries to install the Trojan using one of several known Web browser security holes, such as vulnerabilities found in popular video and music player plug-ins like Macromedia Flash and Apple's QuickTime player. IMPACT: RSA investigators found more than 270,000 online banking account credentials, as well as roughly 240,000 credit and debit account numbers and associated personal information on Web servers the Sinowal authors were using to set up their attacks REMOVAL IS COMPLEX: Sinowal also is unique in that hides in the deepest recesses of a host computer, an area known as the "Master Boot Record." The MBR is akin to a computer's table of contents, a file system that loads even before the operating system boots up. According to security experts, many anti-virus programs will remain oblivious to such a fundamental compromise. What's more, completely removing the Trojan from an infected machine often requires reformatting the system and wiping any data stored on it. _______ La maraña empieza cuando se ejecuta un fichero con una de las muchas variantes del Bredolab, que analizada por VirusTotal muestra la siguiente informacion: File mhbupd32_03_.exe received on 2009.10.08 08:31:47 (UTC) Result: 21/41 (51.22%) Antivirus Version Last Update Result a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Bredolab!IK AhnLab-V3 5.0.0.2 2009.10.07 - AntiVir 7.9.1.35 2009.10.08 TR/Crypt.XPACK.Gen Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.08 - Avast 4.8.1351.0 2009.10.07 - AVG 8.5.0.420 2009.10.04 SHeur2.BIXO BitDefender 7.2 2009.10.08 - CAT-QuickHeal 10.00 2009.10.08 Backdoor.Bredolab.afw ClamAV 0.94.1 2009.10.07 - Comodo 2527 2009.10.07 - DrWeb 5.0.0.12182 2009.10.08 Trojan.Botnetlog.11 eSafe 7.0.17.0 2009.10.06 - eTrust-Vet 35.1.7056 2009.10.07 Win32/Bredolab.QL F-Prot 4.5.1.85 2009.10.07 - F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Bredolab.afw Fortinet 3.120.0.0 2009.10.08 W32/Bredolab.AFW!tr.bdr GData 19 2009.10.08 - Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Bredolab Jiangmin 11.0.800 2009.10.08 - K7AntiVirus 7.10.864 2009.10.07 - Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Bredolab.afw McAfee 5764 2009.10.07 Generic BackDoor!bbt McAfee+Artemis 5764 2009.10.07 Generic BackDoor!bbt McAfee-GW-Edition 6.8.5 2009.10.08 Trojan.Crypt.XPACK.Gen Microsoft 1.5101 2009.10.08 TrojanDownloader:Win32/Bredolab.X NOD32 4488 2009.10.07 Win32/TrojanDownloader.Bredolab.AA Norman 6.01.09 2009.10.07 - nProtect 2009.1.8.0 2009.10.08 - Panda 10.0.2.2 2009.10.07 Suspicious file PCTools 4.4.2.0 2009.10.07 - Prevx 3.0 2009.10.08 Medium Risk Malware Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.08 Mal/Generic-A Sunbelt 3.2.1858.2 2009.10.07 - Symantec 1.4.4.12 2009.10.08 Trojan Horse TheHacker 6.5.0.2.033 2009.10.07 - TrendMicro 8.950.0.1094 2009.10.08 - VBA32 3.12.10.11 2009.10.08 - ViRobot 2009.10.8.1975 2009.10.08 Backdoor.Win32.Bredolab.30208.F VirusBuster 4.6.5.0 2009.10.07 Backdoor.Bredolab.RU Additional information File size: 30208 bytes MD5...: 07355e76c707561c9cbeeb280c06534c SHA1..: 643ca332cd07ae033777de50cc50636ff655d6a4 Debemos decir que el anterior analisis era del dia 5 y que algunos antivirus que ahora lo detectan (como NOD32) no lo detectaban, lo cual es propio de ser muy nuevo... Pues tras la ejecucion de dicho Bredolab, descarga varios malwares, entre ellos el wpv231252512956.exe que es autoejecutado y deja residente un temporal que desaparece en la siguiente sesion, tras lograr modificar el MBR. Este exe es conocido solo por 6 antivirus actualmente: File wpv231252512956.exe received on 2009.10.08 07:28:52 (UTC) Result: 6/39 (15.38%) Compact Print results Antivirus Version Last Update Result a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK AhnLab-V3 5.0.0.2 2009.10.07 - AntiVir 7.9.1.33 2009.10.07 - Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.08 - Avast 4.8.1351.0 2009.10.07 - AVG 8.5.0.420 2009.10.04 - BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj CAT-QuickHeal 10.00 2009.10.08 - ClamAV 0.94.1 2009.10.07 - Comodo 2527 2009.10.07 - DrWeb 5.0.0.12182 2009.10.08 - eSafe 7.0.17.0 2009.10.06 - eTrust-Vet 35.1.7056 2009.10.07 - F-Prot 4.5.1.85 2009.10.07 - F-Secure 8.0.14470.0 2009.10.08 - Fortinet 3.120.0.0 2009.10.08 - GData 19 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot Jiangmin 11.0.800 2009.10.08 - K7AntiVirus 7.10.864 2009.10.07 - Kaspersky 7.0.0.125 2009.10.08 - McAfee 5764 2009.10.07 - McAfee+Artemis 5764 2009.10.07 Artemis!32BA5AF5A8FD McAfee-GW-Edition 6.8.5 2009.10.08 - Microsoft 1.5101 2009.10.08 - NOD32 4488 2009.10.07 - Norman 6.01.09 2009.10.07 - nProtect 2009.1.8.0 2009.10.08 - PCTools 4.4.2.0 2009.10.07 - Prevx 3.0 2009.10.08 - Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.08 - Sunbelt 3.2.1858.2 2009.10.07 - Symantec 1.4.4.12 2009.10.08 - TheHacker 6.5.0.2.033 2009.10.07 - TrendMicro 8.950.0.1094 2009.10.08 - ViRobot 2009.10.8.1975 2009.10.08 - VirusBuster 4.6.5.0 2009.10.07 Trojan.DL.Sinowal.Gen.13 Additional information File size: 352256 bytes MD5 : 32ba5af5a8fdc1287b03a25936642a29 SHA1 : 514d4fed75c30f781f064773273618845efd310a y tras ello queda residente este 24.TMP que es el que modifica el MBR, detectado unicamente tambien por ahora por 6 antivirus: File 24.tmp received on 2009.10.08 07:29:49 (UTC) Result: 6/41 (14.63%) Compact Print results Antivirus Version Last Update Result a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK AhnLab-V3 5.0.0.2 2009.10.07 - AntiVir 7.9.1.33 2009.10.07 - Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.08 - Avast 4.8.1351.0 2009.10.07 - AVG 8.5.0.420 2009.10.04 - BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ CAT-QuickHeal 10.00 2009.10.08 - ClamAV 0.94.1 2009.10.07 - Comodo 2527 2009.10.07 - DrWeb 5.0.0.12182 2009.10.08 - eSafe 7.0.17.0 2009.10.06 - eTrust-Vet 35.1.7056 2009.10.07 - F-Prot 4.5.1.85 2009.10.07 - F-Secure 8.0.14470.0 2009.10.08 Trojan:W32/Mebroot.gen!B Fortinet 3.120.0.0 2009.10.08 - GData 19 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot Jiangmin 11.0.800 2009.10.08 - K7AntiVirus 7.10.864 2009.10.07 - Kaspersky 7.0.0.125 2009.10.08 - McAfee 5764 2009.10.07 - McAfee+Artemis 5764 2009.10.07 - McAfee-GW-Edition 6.8.5 2009.10.08 Heuristic.LooksLike.Win32.Dropper.I Microsoft 1.5101 2009.10.08 - NOD32 4488 2009.10.07 - Norman 6.01.09 2009.10.07 - nProtect 2009.1.8.0 2009.10.08 - Panda 10.0.2.2 2009.10.07 - PCTools 4.4.2.0 2009.10.07 - Prevx 3.0 2009.10.08 - Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.08 - Sunbelt 3.2.1858.2 2009.10.07 - Symantec 1.4.4.12 2009.10.08 - TheHacker 6.5.0.2.033 2009.10.07 - TrendMicro 8.950.0.1094 2009.10.08 - VBA32 3.12.10.11 2009.10.08 - ViRobot 2009.10.8.1975 2009.10.08 - VirusBuster 4.6.5.0 2009.10.07 - Additional information File size: 299008 bytes MD5 : c13b588e581243441e97efb5b56d46d6 SHA1 : 4966d0fbbc00f682b733012a083a3fcf0d4c39c6 Finalmente, analizado el MBR creado, vemos: File Mbr_HD received on 2009.10.08 08:43:13 (UTC) Result: 7/41 (17.08%) Antivirus Version Last Update Result a-squared 4.5.0.41 2009.10.08 - AhnLab-V3 5.0.0.2 2009.10.07 - AntiVir 7.9.1.35 2009.10.08 BOO/Sinowal.E Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.08 - Avast 4.8.1351.0 2009.10.07 - AVG 8.5.0.420 2009.10.04 - BitDefender 7.2 2009.10.08 - CAT-QuickHeal 10.00 2009.10.08 - ClamAV 0.94.1 2009.10.07 - Comodo 2527 2009.10.07 - DrWeb 5.0.0.12182 2009.10.08 BackDoor.MaosBoot eSafe 7.0.17.0 2009.10.06 - eTrust-Vet 35.1.7056 2009.10.07 - F-Prot 4.5.1.85 2009.10.07 - F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Sinowal.ezv Fortinet 3.120.0.0 2009.10.08 - GData 19 2009.10.08 - Ikarus T3.1.1.72.0 2009.10.08 - Jiangmin 11.0.800 2009.10.08 - K7AntiVirus 7.10.864 2009.10.07 - Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Sinowal.ezv McAfee 5764 2009.10.07 - McAfee+Artemis 5764 2009.10.07 - McAfee-GW-Edition 6.8.5 2009.10.08 Virus.Sinowal.E Microsoft 1.5101 2009.10.08 Trojan:DOS/Sinowal.K NOD32 4488 2009.10.07 - Norman 6.01.09 2009.10.07 - nProtect 2009.1.8.0 2009.10.08 - Panda 10.0.2.2 2009.10.07 - PCTools 4.4.2.0 2009.10.07 - Prevx 3.0 2009.10.08 - Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.08 Troj/Mbroot-G Sunbelt 3.2.1858.2 2009.10.07 - Symantec 1.4.4.12 2009.10.08 - TheHacker 6.5.0.2.033 2009.10.07 - TrendMicro 8.950.0.1094 2009.10.08 - VBA32 3.12.10.11 2009.10.08 - ViRobot 2009.10.8.1975 2009.10.08 - VirusBuster 4.6.5.0 2009.10.07 - Additional information File size: 512 bytes MD5...: 08f20ad4a34f032b66e39bb75de31303 SHA1..: 26a07da2a4a2fd079b379d02228102fded72ec4f Ningun problema cuando sabemos que está infectado el MBR, arrancamos con el CD de instalacion, entramos en consola de recuperacion y lanzamos un FIXMBR, pero cuando hacerlo ??? Lo dificil es detectar la infección en el MBR con Windows NT (XP, 2000, 2003, 2008, Vista) en marcha, y es lo que trataremos de conseguir. Los ficheros intermedios ya los detectamos y eliminamos, pero cuando los vemos, el virus ya ha hecho su faena en el MBR... y posiblemente enviado passwords a direcciones remotas. Si los ZBOT son peludos o duros de pelar, estos BOTKIT, MebRoot, MBRoot, o como se les quiera llamar. ya son calvos, todavía mas dificiles de pelar Estamos en ello, seguiremos informando, pero mientras conviene tenerlo presente ! saludos ms, 8-10-2009 NOTA: Recibido de un forero la confirmacion de la efectividad del ELISTARA corrigiendo dicho RootKit de MBR, segun infosat.txt 27-10-2009 14:08:28 (GMT)) EliStartPage v19.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2009) -------------------------------------------------- Lista de Acciones (por Acción Directa): Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}" Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}" Eliminados Ficheros Temporales del IE Detectado Trojan.Mebroot(mbr) en MBR del HD1 Restaurado MBR del HD1 Nos complace dicha información que nos confirma dicha efectividad ! |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|